Contrôler l'accès aux processus

Un programme malveillant peut agir en accédant à des processus légitimes pour récupérer des informations sensibles ou y injecter du code malveillant.

Les règles d'accès aux processus de SES Evolution permettent de se protéger contre ce type d'attaque sans bloquer totalement les accès inter-processus dont certains sont légitimes.

Il n'est pas possible de bloquer totalement l'accès à un processus ou à un thread d'un processus mais vous pouvez restreindre les droits accordés lors de cette opération.

Ces règles ne s'appliquent qu'aux applications. Elles ne s'appliquent pas aux pilotes.

EXEMPLE
Bloquer l'accès à la mémoire d'un processus permet d'empêcher de voler les mots de passe dans la mémoire d'un navigateur lorsqu'il est ouvert.
Retrouvez d'autres exemples à la fin de cette section.

Vous devez au préalable avoir créé un identifiant d'applications pour les processus à protéger et pour les processus légitimes autorisés à accéder à d'autres processus. Pour plus d'informations, reportez-vous à la section Créer des identifiants d'applications.

  1. Choisissez le menu Politiques et cliquez sur votre politique.
  2. Sélectionnez un jeu de règles.
  3. Cliquez sur l'onglet Applicatif > Accès aux processus.
  4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
  5. Cliquez sur Ajouter une règle (Accès aux processus).
    Une nouvelle ligne s'affiche.
  6. Cliquez sur l'icône dans la zone des identifiants d'applications et choisissez le ou les processus à protéger.
  7. Dans la zone Comportement par défaut, choisissez le comportement pour chaque action (dans un jeu de règles d'audit, seule l'action Lecture est paramétrable) :
    • Lecture : choisissez l'action de la règle en cas de lecture de la mémoire du processus.
    • Modification : choisissez l'action de la règle en cas de modification de la mémoire du processus.
    • Altération du flux d'exécution : un programme qui prend le contrôle d'un processus peut modifier son pointeur d'exécution. Choisissez l'action de la règle en cas d'altération du flux d'exécution du processus.
    • Duplication de handle : choisissez l'action de la règle lorsqu'un processus tente de dupliquer une ressource appartenant à un autre processus.
    Le comportement Bloquer et interrompre permet pour toutes ces actions de les bloquer et d'arrêter le processus à l'origine de l'action.
  8. Cliquez sur l'icône + Ajouter un comportement spécifique et choisissez le ou les processus à exclure du comportement par défaut. Pour chaque cas, sélectionnez le comportement.
  1. Dans le bandeau supérieur de la règle, vous pouvez :
    • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
      Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
    • Indiquer si la règle doit générer un incident lorsqu'elle s'applique.
    • Sélectionner les paramètres des logs qui seront émis par cette règle.
    • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle. Vous pouvez demander qu'une notification soit affichée sur l'agent et/ou qu'un script soit exécuté.
    • Saisir une description pour expliquer l'objectif de la règle.
  2. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
  3. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.

EXEMPLES
Vous pouvez interdire à toute application l'accès au gestionnaire de mots de passe, afin d'éviter qu'un attaquant n'accède aux mots de passe ou n'injecte du code dans son processus. Dans ce cas, choisissez le gestionnaire de mots de passe dans les processus à protéger et sélectionnez Bloquer pour toutes les actions dans le comportement par défaut. Ne définissez aucun comportement spécifique.
Exemple d'une règle d'accès au processus

Vous pouvez aussi bloquer l'altération du flux d'exécution d'applications importantes comme des logiciels métier, afin d'éviter qu'un attaquant ne les arrête ou ne les suspende par exemple.Exemple 2 d'une règle d'accès aux processus